Спорить бесполезно

С развитием системы электронного документооборота и в условиях постепенного отказа от использования бумажных носителей все более актуализируется весь комплекс проблем, связанных с использованием электронной цифровой подписи.

Фундаментальной проблемой является юридическая неурегулированность вопроса. Федеральный закон об электронной цифровой подписи принят. Настоящий законодательный акт должен был стать правовым каркасом всей системы отношений, возникающих при использовании ЭЦП. Однако de facto он не работает. Связано это с тем, что при принятии данного закона были нарушены законотворческая логика и последовательность — необходимо было сначала принять закон об электронном документообороте, потому что «электронная подпись» является подчиненным или атрибутивным понятием по отношению к понятию «электронный документ».

Ведущий аналитик департамента банковского ПО «RS-Bank V.6» компании R-Style Softlab Сергей Ветров полагает, что в сложившихся условиях главная проблема состоит в следующем: ЭЦП нельзя признать эквивалентом собственноручной подписи человека. То есть до тех пор, пока по этому поводу никаких споров между участниками документооборота не возникает, признать можно. Но как только возникает спор — одна сторона утверждает, что получила подписанный второй стороной документ, а вторая сторона настаивает на том, что такого документа не подписывала, — положение становится патовым. В суд с целью разрешения этого конфликта обращаться бесполезно.

А вот когда закон начнет действовать, возможно возникновение интереснейших сюжетов. Например, судебное разрешение конфликтов между сторонами должно будет предполагать не только собственно проверку ЭЦП спорного документа, но и непростую экспертизу самой процедуры такой проверки. «Для адвокатов тяжущихся сторон опротестование этой процедуры — неосвоенная сфера творчества», — говорит Сергей Ветров (R-Style Softlab).

Пока же во избежание юридических коллизий необходима тщательная проработка всех нюансов в договоре, заключаемом между участниками электронного документооборота. Главный из них, как ясно из вышеизложенного, — процедура разрешения споров.

Коммерческий директор компании Aladdin Алексей Сабанов указывает на то, что сегодня все открытые (публичные) удостоверяющие центры (УЦ) работают на основании временного разрешения ФСБ (ранее ФАПСИ). Строго говоря, все они имеют статус корпоративных УЦ и, следовательно, функционируют вне правового поля, но в рамках ряда законов: «Об ЭЦП», «О техническом регулировании», «Об информации, информатизации и защите информации» и др.

Фактически юридическим основанием документооборота между организациями является двух- или многостороннее соглашение о взаимном признании электронных форм документов за личной подписью сторон или же «локальный» нормативный акт (внутреннее распоряжение, инструкция и т.д.). Однако даже при наличии такого соглашения или акта бумажное и безбумажное (например, с использованием дискет) делопроизводство в компаниях, использующих ЭЦП, не отмирает автоматически, а мирно уживается с электронным документооборотом. Шаткость такой системы очевидна всем игрокам рынка и сторонним наблюдателям, за исключением субъектов законодательной инициативы.

Российская специфика — приоритет отечественной криптографии

При этом ЭЦП играет ключевую роль в общей совокупности систем криптографической защиты информации (СКЗИ). Основными составляющими информационной безопасности являются конфиденциальность, аутентификация и контроль целостности.

Конфиденциальность обеспечивается шифрованием, а аутентификация и контроль целостности — применением ЭЦП. Как правило, все элементы используются комплексно. «Но есть приложения, где основная роль отводится ЭЦП, например, в системах электронного документооборота. И, наоборот, для организации VPN, защиты телефонных переговоров и т.п. приоритет имеет шифрование», — говорит генеральный директор компании «Сигнал-КОМ» Владимир Смирнов.

Если говорить о темпах развития, то, безусловно, сегмент ЭЦП является бурно растущим. Это иллюстрируется следующими данными: еще в декабре 2004 года удостоверяющих центров насчитывалось около 150, а валидных сертификатов ключей ЭЦП около 50 тысяч. По данным на ноябрь 2005 года эти цифры уже вдвое превышены. То есть можно будет констатировать более чем стопроцентный рост по итогам года. Естественно, приведенные данные касаются публичных УЦ, привести точные цифры по закрытым, корпоративным удостоверяющим центрам невозможно по причине отсутствия какой-либо системы учета.

Емкость рынка всегда будет определяться количеством пользователей прикладных систем с ЭЦП. «Потенциальная цифра, скорее всего, имеет порядок десятка или полутора десятков миллионов, но когда такое количество валидных электронных подписей будет реально работать, наверное, сегодня не сможет спрогнозировать никто» — предполагает Алексей Сабанов (Aladdin).

Необходимо обратить внимание и на национальную специфику развития ЭЦП. Владимир Смирнов («Сигнал-КОМ») считает, что она имеет двухуровневую структуру. Первый уровень является технологическим: использование российских криптографических стандартов на шифрование и ЭЦП, а также и необходимость их интеграции в системное и прикладное ПО зарубежных разработчиков, что порой вызывает определенные трудности. В России превалирует использование национальных криптоалгоритмов. Скажем, если организация относится к госсектору или сотрудничает с госструктурами, то она обязана использовать национальную криптографию, что закреплено на законодательном уровне. «Самым удивительным и отрадным фактом является то, что многие коммерческие организации используют российские криптоалгоритмы, в то время как закон «О техническом регулировании» предоставляет им свободу выбора!» — восклицает Алексей Сабанов (Aladdin). Действующее законодательство в части разработки и использования СКЗИ защищает интересы России и российских разработчиков. Возможно, это объясняется тем, что позиции России в криптографии традиционно сильны — во многом благодаря стратегии российских спецслужб, располагающих одним из мощнейших в мире научно-образовательных центров — ИКСИ (Институт криптографии, связи и информатики).

Второй уровень развития ЭЦП может быть назван организационным. Отсутствует единая федеральная программа координации деятельности между ведомствами в области электронного документооборота и ЭЦП. Отсюда, собственно, и проистекают все обозначенные выше проблемы правового характера, а также проблемы стандартизации.

Это же обстоятельство объясняет то, что корпоративный сектор растет гораздо быстрее, причем не только с точки зрения ЭЦП, а с точки зрения построения защищенной информационной инфраструктуры в целом. Поскольку мы говорим об информационной безопасности, по понятным причинам компании не распространяются о том, как именно организована защита информации и каким образом функционирует удостоверяющий центр каждой из них.

Однако, если речь идет о провайдерах услуг в области электронной цифровой подписи, то такие компании стремятся к публичности. Первое место среди подобных сервисов занимает организация сдачи налоговой отчетности. На сегодняшний день те самые — упоминавшиеся выше — 300 публичных удостоверяющих центров поддерживают более 100 тыс. валидных сертификатов ключей ЭЦП. На втором месте — банковские операции. «Наиболее прогрессивные игроки банковского рынка уже осознали необходимость и преимущества использования решений на базе инфраструктуры открытых ключей и развернули собственные удостоверяющие центры. К таким «пионерам» можно отнести Альфа-Банк, «Возрождение», «Петрокоммерц», ВИП-банк и многие другие», — делится с «БО» своими наблюдениями Алексей Сабанов (Aladdin).

Свой-чужой

Принципиальным вопросом для любой компании является выбор между созданием собственного УЦ или использованием публичного. «На сегодняшний день, в отсутствие единой общероссийской инфраструктуры открытых ключей (PKI) с закрепленным юридическим статусом, вопрос о создании своего УЦ или использовании услуг стороннего публичного УЦ с юридической точки зрения равнозначен и поэтому решается каждой компанией индивидуально, в основном в экономической плоскости», — считает Владимир Смирнов («Сигнал-КОМ»).

В координатах «свой-чужой» УЦ, по мнению эксперта, существуют в основном три подхода при организации PKI:

• — создание своего УЦ, обеспечивающего широкий набор услуг, включая поддержку справочников сертификатов, выпуск списка скомпрометированных сертификатов, поддержку функций электронного нотариуса и др.;
• — использование стороннего, публичного УЦ, предоставляющего также широкий набор услуг в рамках программ аутсорсинга;
• — создание своего УЦ с минимальным набором услуг, предназначенного главным образом для управления ключевой информацией в виде изготовления сертификатов для работы с конкретным приложением.

Первый подход наиболее затратный, и подобные PKI, как правило, создают крупные компании с территориально-распределенными структурами. Разовые затраты по созданию такого УЦ составляют от 30 тыс. долларов и выше. Плюс стоимость владения: зарплата сотрудникам, эксплуатация оборудования, расходные материалы и пр.

Второй подход используют компании, желающие получить такой же набор услуг, как и в первом случае, но за меньшие деньги и без привлечения дорогостоящих специалистов в области организации PKI. Стоимость месячного обслуживания в публичных УЦ, в зависимости от количества изготавливаемых сертификатов, составляет от 400 долларов.

Третий подход по затратам не намного выше второго, и по нему идут 70—80% организаций для поддержки своих защищенных сервисов. Подобные решения фактически выполняют роль ЦУКСа (центра управления ключевой системой) и лишь условно могут быть отнесены к удостоверяющим центрам.

Сергей Ветров (R-Style Softlab) обращает внимание на то, что проблемы при эксплуатации и оптимизации функционирования систем ЭЦП для подавляющего большинства пользователей незаметны. Разработчики средств ЭЦП стараются минимизировать их влияние, так что для конечного пользователя применение ЭЦП представляется крайне простым делом, зачастую вообще незаметным в процессе повседневного документооборота.

Но работы у сотрудников, обеспечивающих функционирование ЭЦП, достаточно. Необходимо обеспечивать пользователей сертификатами в объемах и темпе, соответствующих потребностям организации. Необходимо осуществлять надлежащую эксплуатацию программного обеспечения, как централизованного, так и пользовательских комплектов, обращая особое внимание на обеспечение его целостности. Необходимо поддерживать функционирование инфраструктуры открытых ключей во всех ее аспектах. Необходимо сформировать внутреннюю нормативную базу и обеспечить пользователей хорошо продуманными инструкциями. Наконец, необходимо следить за дисциплиной пользователей и заставлять их правильно пользоваться закрытыми ключами ЭЦП.

«Особые проблемы возникают в случае компрометации закрытых ключей ЭЦП, а также при выводе из действия сертификатов, например, при увольнении сотрудника», — подчеркивает эксперт R-Style Softlab.

ЭЦП в России началась с банков

Следует подчеркнуть, что локомотивом развития практики использования ЭЦП в России являются банкиры. С них, собственно, все и началось. Первые системы дистанционного банковского обслуживания (ДБО) появились в начале 90-х годов, и в это же время был отмечен приток в банковскую сферу высококвалифицированных IT-кадров из различных отраслей промышленности, поэтому именно в банковском секторе накоплен наибольший опыт по использованию электронного документооборота.

Владимир Смирнов («Сигнал-КОМ») отмечает, что банковский бизнес характеризует повышенная ответственность всех участников процесса, связанная с осуществлением конкретных и часто необратимых финансовых операций, проводимых по электронным документам. «За все время существования систем ДБО не было зафиксировано практически ни одного по-настоящему серьезного конфликта сторон, связанного с использованием ЭЦП, а редкие разногласия решались на основе отработанных процедур разрешения конфликтных ситуаций с привлечением разработчиков СКЗИ», — рассказывает эксперт.

Характерной чертой применения ЭЦП в банковском бизнесе является то, что банковские системы построены по архитектуре взаимодействия типа «звезда» и, как правило, с централизованной системой генерации ключей (с участием сотрудника банка или самостоятельно клиентом на специальном рабочем месте). Это накладывает на банки дополнительную ответственность по соблюдению мер безопасности, поэтому до последнего времени банки предпочитали создавать собственные УЦ, используя первый либо третий подходы по организации PKI.

Алексей Сабанов (Aladdin), говоря о специфике использования ЭЦП банками, остановился на том, что для защиты банковской тайны необходимо использование российских криптоалгоритмов. А если речь идет об услугах клиентам — юридическим и физическим лицам, — то им в любом случае придется использовать только сертифицированные решения. В преддверии вступления России в ВТО перед банками встанет необходимость использования не только российских, но и международных криптоалгоритмов, как того требуют мировые рынки. Что касается интернет-банкинга, то здесь основной проблемой является создание и поддержание доверительных отношений («пространства доверия») между информационными ресурсами, содержащими конфиденциальные данные, как внутри банка, так и во всей системе банковских организаций, с одной стороны, и пользователями — с другой. Кстати говоря, пространство доверия — это непременная составляющая создания систем с поддержкой ЭЦП.

Впрочем, характерные требования банков к продуктам информационной безопасности только формируются на основе стандарта Банка России. «В своей массе они такие же, как и у большинства крупных корпоративных заказчиков: наличие соответствующих сертификатов, надежность, легитимность, «прозрачность» управления, отказоустойчивость», — резюмирует Алексей Сабанов (Aladdin).

Что касается новых продуктов на базе ЭЦП, эксперты полагают, что более продвинутыми и удобными в использовании можно считать продукты, имеющие реализацию в виде криптопровайдеров и криптодрайверов, встраиваемых в популярные операционные системы на уровне ядра таким образом, что становится возможным использование средства ЭЦП через стандартные программные интерфейсы операционной системы. В результате отечественный сертифицированный продукт оказывается органично встроен в разнообразные, высококачественные, привычные пользователям приложения любых производителей — электронную почту, браузеры, текстовые редакторы, средства сертификации исполняемого кода и макросов и т.п.

Все же основные новости приходят из области расширения прикладной и вспомогательной функциональности продуктов, а также их интеграции с различными приложениями и системами — СУБД, средствами обеспечения совместной работы, интернет-приложениями, приложениями для подготовки отчетности для госорганов и т.п.

Ну и, конечно, особая статья — продукты для удостоверяющих центров и инфраструктуры открытых ключей. Здесь заметны довольно сильная конкуренция и высокая активность производителей. Это явственно свидетельствует о том, что рынок ЭЦП вообще и услуг удостоверяющих центров в частности жив, несмотря на бездействие закона об ЭЦП.

Новости информационных технологий в банках

Участники конференции «Возможности, инструменты и риски потребительского кредитования» (13 декабря 2005 года) сошлись в определении наиболее важных для банков «критических точек» в потребительском кредитовании. В первую очередь это организация каналов продаж банковских услуг и выстраивание технологий в банках.

Точку зрения на технологические аспекты развития потребительского кредитования представила в своем докладе Анна Чернобыльская, заместитель руководителя проекта «Фронт-офис» компании «Диасофт». Концепция фронт-, мидл- и бэк-офиса, предлагаемая «Диасофт», позволяет банкам наращивать мощность IT-решения в соответствии со своей стратегией на розничном рынке. Например, если стратегия банка включает территориальную экспансию или захват доли на розничном рынке, то без современного фронт-офисного решения ему просто не обойтись. Чтобы добиться конкурентного преимущества по кредитным ставкам, крайне важно иметь современные решения для управления рисками (скоринг). При этом любой объем и направление розничной деятельности требует наличия в банке бэк-офиса по рознице, который допускает наличие разных «слоев», то есть IT-решений от разных разработчиков: в этом случае единое информационное пространство в банке достигается за счет использования промышленной интеграционной платформы.